IDC Security Roadshow 2005: Jak hacknout Eurotel

V Praze proběhl další ročník konference IDC Security Roadshow, které se zúčastnil nejznámější hacker Kevin Mitnick, zajímavější ale byla přednáška hackingu na živo, byť v té nejzákladnější podobě. Právě jednoduchost, s jakou lze napadnout různé systémy, na publikum zapůsobila nejvíce.
IDC Security Roadshow 2005: Jak hacknout Eurotel

Související odkazy

Slovník
buffer
hacker
overrun
proxy
server
trojský kůň
URL

Po roce, kdy se v Praze konference IDC Security Roadshow zúčastnil specialista Microsoftu na oblast bezpečnosti Stephen McGibbon, představilo IDC jako hlavního hosta IDC Security Roadshow 2005 slavného hackera Kevina Mitnicka. Kevin Mitnick, přestože se dostal k mnoha citlivým datům, se nakonec nechal hned několikrát chytit a uvěznit. Byl určitou dobu dokonce na seznamu nejhledanějších osob ve Spojených státech a stejně jako slavný padělatel Frank W. Abagnale se po pěti letech ve vězení začal věnovat svému oboru z opačné pozice, jako bezpečnostní konzultant. A stejně jako Abagnale se stal svým způsobem celebritou, sám se tak ostatně cítí, i když nadále dělá i bezpečnostní analýzy pro klienty své firmy.

Mitnick: Jak hacknout Eurotel

Na IDC Security Roadshow se Mitnick věnoval svému nejoblíbenějšímu tématu, sociálnímu inženýrství, které umožňuje narušení bezpečnosti počítačových systémů a přístup k utajovaným informacím na základě využití znalostí lidské psychologie. Na tiskové konferenci Mitnick jako příklad sociálního inženýrství nabídl plán, jak proniknout do vnitřní sítě Eurotelu. Stačilo by podle něj obléknout se do kvalitního obleku, vejít do budovy Eurotelu a na několika místech nechat CD v barvách Eurotelu s popisem "Důvěrné, mzdové ukazatele 1Q 2005". Na CD by potom namísto slibovaných údajích o platech v rámci firmy byl trojský kůň.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Kevin Mitnick sám a s Tomem Vavrou z IDC

Kromě tohoto praktického případu Mitnick, jako správný obchodník, upozornil na chystané vydání knihy Art of Intrusion, ve které formou rozhovorů s aktivními i bývalými hackery popisuje reálné útoky různého typu i s návodem, jak takovým útokům předejít. Mitnick na sebe prozradil i zajímavou informaci, totiž, že jeho bratranec se oženil s Češkou a žije v Praze, sám Mitnick ale do Prahy létá pouze obchodně.

Málo informací, malé výdaje

Protože konferenci hostila analytická společnost IDC, nemohla chybět ani prezentace, která přinesla statistické informace o trhu s bezpečnostními řešeními v České republice a srovnání s Evropskou unií, bohužel ale byla k dispozici pouze čísla za rok 2003, protože údaje za uplynulý rok ještě nejsou k dispozici. I tak IDC oceňuje český trh jako poměrně vyspělý, co se bezpečnosti týká, ve srovnání s ostatními zeměmi střední a východní Evropy, i když ve srovnání se západní Evropou a USA stále zaostáváme. Hlavním problémem je podle IDC malé povědomí o problematice bezpečnosti počítačových systémů mezi lidmi odpovědnými za vytváření rozpočtů.

Specifikem českého trhu je podle IDC soustředění na jednoduchá, základní řešení počítačové bezpečnosti, i když se situace v této oblasti zlepšuje. Výrazný je také vliv lokálních úspěšných firem jako je Grisoft, Alwil a Kerio. Podle údajů IDC potom české firmy vynakládaly v roce 2003 na bezpečnost 0,72 % IT rozpočtů (17,45 milionu dolarů) ve srovnání s 0,90 % v Západní Evropě nebo 0,49 % v Řecku a 0,76 % v Portugalsku.

Obrázek nad tisíce slov. Co praktická ukázka?

Nejzajímavější částí odpoledního programu konference byla prezentace Sebastiana Schreibera ze společnosti SySS, který v praxi předvedl základní jednoduché útoky, které může provádět každý, kdo si dá tu práci a bude chvíli hledat na Googlu informace o zranitelných systémech a nástrojích, které umožní každému několika kliknutími ohrožovat bezpečnost nezáplatovaných systémů.

Schreiber předvedl v praxi odhalení webových rozhraní nezajištěných síťových tiskáren a odhalení hesel k MySQL databázím jen prostřednictvím Google. Pikantní na ukázce bylo, že nezajištěnou MySQL databázi našel přímo ze sálu hotelu Marriott i na slavném MITu (Massachusetts Institute of Technology).

Klepněte pro větší obrázek Klepněte pro větší obrázek
Sebastian Schreiber byl s výsledky svého snažení spokojený

Další částí prezentace byly útoky na špatně zajištěné webové obchody, které umožňují změnu účtované ceny pouhou úpravou URL, které může obsahovat nešifrovaný údaj o ceně, nebo úpravou formuláře prostřednictvím pluginu pro prohlížení a úpravu zdrojových kódů. Nechybělo ani "sestřelení" operačního systému Windows XP bez záplat jednoduchým buffer overrun útokem, opět pomocí nástroje běžně dostupného na internetu.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Notebook s Windows XP s běžícím OS a po útoku

Poslední část praktické ukázky byla věnována sofistikovanějším útokům typu "man in the middle" pro přerušení šifrované komunikace a získání citlivých dat jako je například číslo kreditní karty spuštěním nástroje pro automatické přesměrovávání, kdy se útočníkům počítač mění v proxy, který překládá komunikaci mezi uživatelem a serverem na základě podstrčených veřejných klíčů. I přes to, že namísto skutečné hackerské práce šlo jen o využití jednoduchých nástrojů, nebo možná právě pro snadnost spuštění takových útoků tato praktická ukázka viditelně na publikum zapůsobila. Rozhodně byla zajímavější než obvyklé prezentace suchých čísel a faktů.

Diskuze (43) Další článek: Sophos rozšíří své produkty o firewall

Témata článku: Bezpečnost, IDC, Eurotel, Webový specialista, Proxy, Zranitelný systém, Nejzajímavější fakt, Marriott, Obvyklé PR, Frank, Jednoduchý nástroj, Sebastian, Základní řešení, Overrun, Security, Jak


Určitě si přečtěte

Nová volitelná aktualizace opravuje více než 40 chyb v operačním systému Windows 10
Karel Kilián
Windows UpdateAktualizaceWindows 10
Čestné prohlášení při cestě mimo okres může být i elektronické. Stačí k tomu mobil
Lukáš Václavík
COVID-19eGovernmentDoprava
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián | 22

Karel Kilián
TipyVyhledávačeGoogle
9 nejlepších českých webů, kde lze stáhnout filmy a seriály

9 nejlepších českých webů, kde lze stáhnout filmy a seriály

** Když selžou legální zdroje, můžete se zkusit obrátit na služby pro stahování souborů ** Ulož.to není zdaleka jediné, které nabízí videoobsah ke stažení ** Konkurenční služby nabízí levnější placené účty

redakce | 112

redakce
TipyHudba, filmy, seriályWeb
Pozor na tyto doplňky pro Chrome a Edge. Mohou obsahovat malware, varuje Avast
Jakub Čížek
MalwareProhlížeče
Jak najít hranice území obcí a okresů, abyste věděli, kde se můžete pohybovat
Filip KůželJakub Čížek
KoronavirusMapy
Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

** Uspořádání kabelů můžete vnímat i jako podivný druh umění ** To nejkrásnější se skrývá v datacentrech a serverovnách ** Podívejte se na skutečné „cableporn“ z optiky i kroucené dvojlinky

Vojtěch Malý | 53

Vojtěch Malý
DatacentraServery
Dalším gigabitovým hráčem bude ČEZ. Internet již poskytuje prvním zákazníkům
Lukáš Václavík
Poskytovatelé internetuPřipojení k internetu